Содержание статьи:

1. Представление объекта на экспертизу
   
2. Идентификация объекта
   
3. Подготовка к исследованию
   
4. Изоляция объекта
   
5. Извлечение данных
   • Ручное извлечение данных
     
   • Извлечение данных на логическом уровне
     
   • Извлечение данных на физическом уровне
     
   • Извлечение данных из интегральной схемы памяти или «Chip-off»
     
   • Извлечение данных на микроуровне
6. Верификация полученных результатов
   
7. Составление заключения

Трудно переоценить значимость криминалистического исследования мобильных устройств. Буквально каждые полгода на рынок выходят всё новые и новые модели, многие из которых хранят массу данных о пользователе и его действиях. Эти данные могут представлять интерес для следственных органов, органов дознания и суда при расследовании самых разнообразных правонарушений.

Мобильные устройства, в частности сотовые телефоны, используются при совершении преступлений достаточно давно. Однако криминалистический анализ данных, которые они содержат, является сравнительно молодым направлением компьютерной криминалистики или форензики. Это ответвление обусловлено тем, что традиционные методы форензики не всегда могли быть применены к мобильным устройствам, что обусловило необходимость разработки новых методик для их исследования и изучения.

Форензика– это прикладная наука о раскрытии преступлений, связанных с компьютерной информацией. Об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств. А криминалистическое исследование мобильных устройств или мобильная криминалистика – это подраздел форензики, занимающийся поиском, извлечением и фиксацией цифровых доказательств, имеющихся в мобильных устройствах, таких как сотовые телефоны, смартфоны, планшеты и др.

Необходимо отметить, что подавляющее количество цифровых носителей информации, поступающих в судебные лаборатории, составляют именно мобильные устройства - более 70% от общего числа поступивших устройств, а в отдельных лабораториях, более 95% от общего числа. К тому же, с течением времени, значительно меняются требования сотрудников следственных органов к качеству и количеству извлекаемой из мобильных устройств информации. К примеру, если десять-пятнадцать лет назад следователя устраивало, что эксперт извлекал из мобильного устройства: вызовы, контакты, SMS-сообщения, то сейчас, обязательным условием экспертного исследования мобильного устройства является поэтапное восстановление удаленной информации, извлечение истории обмена сообщениями в различных мессенджерах, истории совершения платежей в различных платежных приложениях, извлечение геоданных и т.п. К большому сожалению не все категории этих данных, даже при условии наличия их в мобильном устройстве, доступны для извлечения. Прежде всего, это связано с аппаратными и программными особенностями хранения данных в конкретном мобильном устройстве конкретного производителя.

Профессиональные аппаратно-программные комплексы для проведения исследований очень дороги, однако существуют и бесплатные инструменты, сведения о которых будут приложены в конце статьи.

Сам процесс получения цифровых доказательств из мобильных устройств состоит из семи стадий:

1. Представление объекта на экспертизу

На данном этапе следственным органом (органом дознания, судом) готовится постановление о назначении компьютерной (компьютерно-технической) экспертизы, которое впоследствии поступает в экспертное учреждение вместе с объектом исследования. Необходимо отметить важность предварительного согласования вопросов, ставящихся на разрешение эксперту, следственным органом. Кроме того, необходимо удостовериться в отсутствии повреждений упаковки объекта, а также соответствии представляемых на экспертизу объектов тем, что указаны в постановлении о назначении экспертизы.

2. Идентификация объекта

Эксперт, которому поручено производство экспертизы, предварительно сфотографировав упаковку, извлекает из нее поступивший на исследование объект. Производится сопоставление извлеченного из пакета устройства с устройством, указанным в постановлении о назначении экспертизы. Фиксируется производитель, модель и серийный номер устройства, IMEI, а также иные индивидуальные особенности - цвет, тип корпуса, повреждения и т.д. Устанавливается наличие в корпусе мобильного устройства SIM-карт и карт памяти.

3. Подготовка к исследованию

Необходимая для этой стадии информация уже собрана экспертом при идентификации объекта. Получив сведения о производителе и модели, криминалист может найти и изучить документацию на устройство, подобрать соответствующий кабель, программное обеспечение, необходимое для проведения исследования, в том числе драйверы, необходимые для взаимодействия мобильного устройства с рабочей станцией эксперта. При выборе программного обеспечения необходимо руководствоваться задачами исследования, ресурсами, находящимися в распоряжении экспертно-криминалистического подразделения, типом мобильного устройства, а также наличием в нем сменных носителей информации.

4. Изоляция объекта

Большинство мобильных устройств взаимодействуют с сетями сотовой связи и иными через «Bluetooth», ИК-порт и Wi-Fi-модуль. На данной стадии эксперт изолирует устройство от всех этих сетей. Это позволяет избежать внесения изменений в данные, имеющиеся в памяти устройства, например, входящими вызовами, SMS-сообщениями и т.п. Кроме того, некоторые устройства поддерживают удаленный доступ, воспользовавшись которым подозреваемый может уничтожить цифровые доказательства. Для этих целей может быть использована, например, клетка Фарадея, которая экранирует устройство от внешних электромагнитных полей. Кроме того, большинство смартфонов и планшетных компьютеров имеют встроенный режим «В самолете», который также позволяет отключить устройство от всех сетей.

5. Извлечение данных

Изолировав мобильное устройство от сетей, эксперт приступает к непосредственному извлечению и анализу данных посредством избранного программного обеспечения (и аппаратно-программных комплексов). Необходимо отметить, что внешние носители информации (карты памяти) должны исследоваться отдельно, так как существует вероятность внесения изменений в данные, хранящиеся на ней, во время исследования мобильного устройства. При исследовании карт памяти необходимо применять традиционные методы компьютерной криминалистики, которые позволяют сохранить исследуемую компьютерную информацию в первозданном виде.

Разберемся более подробно с уровнями извлечения данных. Существует пять основных уровней извлечения данных из мобильных устройств, каждый из которых имеет свои недостатки и преимущества. Данные уровни были представлены Сэмом Бразерсом, в 2009 году, в виде пирамиды, по мере приближения к вершине которой методы становятся более сложными с технической стороны, правильными с точки зрения криминалистики и наукоемкими. Пирамида, иллюстрирующая все пять уровней извлечения данных из мобильных устройств представлена на рисунке.

https://forum.antichat.xyz/attachments/4843435/1.png

Рисунок. Уровни извлечения данных из мобильных устройств

Ручное извлечение данных

Данный уровень подразумевает обеспечение доступа к компьютерной информации, имеющейся в памяти мобильного устройства, посредством его клавиатуры или сенсорного экрана. Обнаруженная в ходе исследования информация документируется путем фотосъемки экрана телефона или планшета. Данные метод является наиболее простым и подходит для любого устройства. Важно отметить, что на данном уровне невозможно получить все данные, а также произвести восстановление удаленных файлов и записей. Несмотря на кажущуюся простоту данного метода, некоторые типы данных например, сведения об электронной почте, хранимой в мобильном устройстве фирмы Apple, возможно получить только данным способом.

Извлечение данных на логическом уровне

Данный уровень подразумевает подключение мобильного устройства к рабочей станции эксперта посредством USB-кабеля, ИК-порта или «Bluetooth». После этого производится побитовое копирование файлов и каталогов, находящихся на логических дисках мобильного устройства. При этом используется интерфейс прикладного программирования, разработанный производителем и предназначенный для синхронизации телефона или планшета с персональным компьютером. Тем не менее, данный уровень извлечения данных также обеспечивает ограниченный доступ к компьютерной информации, и не позволяет восстановить удаленные данные. Исключением могут служить удаленные записи из баз данных SQLite, использование которых характерно для операционных систем iOS и Android. Стертые записи в указанных базах данных не перезаписываются сразу, а помечаются как «удаленные» до тех пор, пока место, занимаемое ими, не понадобится для записи новых данных. Также, на этом уровне возможно извлечение баз миниатюр, содержащих миниатюры графических и видео файлов, содержащихся в устройстве, в том числе, и удаленных файлов данных типов.

Извлечение данных на физическом уровне

Этот уровень подразумевает получение побитовой копии всей внутренней памяти мобильного устройства, что позволяет, в том числе, восстановить удаленные записи и файлы. Несмотря на привлекательность данного метода, осуществить извлечение данных на этом уровне представляется возможным далеко не всегда: производители зачастую ограничивают возможность чтения внутренней памяти мобильного устройства в целях обеспечения максимальной безопасности. Чтобы обойти данные ограничения, разработчики программного обеспечения для криминалистического исследования мобильных устройств разрабатывают собственные загрузчики, которые позволяют не только получить доступ к внутренней памяти, но и, иногда, обойти пароли, установленные пользователями.

Извлечение данных из интегральной схемы памяти или «Chip-off»

Данный уровень подразумевает извлечение данных непосредственно из интегральной схемы памяти мобильного устройства. Интегральная схема извлекается из телефона или планшета и помещается в соответствующее устройство для чтения или аналогичное мобильное устройство. Использовать данный метод достаточно сложно, так как интегральные схемы памяти, используемые в производстве мобильных устройств, весьма разнообразны. Преимуществом же извлечения данных на этом уровне является возможность получить компьютерную информацию даже из памяти неисправных мобильных устройств.
Отдельного внимания заслуживает метод извлечения данных из интегральной схемы памяти посредством отладочного интерфейса JTAG - Joint Test Action Group. Устройство подключается через порт тестирования TAP и его процессор получает команду на копирование данных, имеющихся на интегральной схеме памяти.

Извлечение данных на микроуровне

Данный процесс подразумевает изучение интегральной схемы памяти посредством электронного микроскопа и последующее преобразование полученных данных сначала в последовательность нулей и единиц, затем – ASCII-символы. Данный метод не нашел широкого применения ввиду его высокой стоимости и наукоемкости.

6. Верификация полученных результатов

К сожалению, довольно часто программные продукты, предназначенные для криминалистического исследования мобильных устройств, извлекают данные не полностью. Поэтому верификация полученных в ходе исследования цифровых улик является неотъемлемой частью производства судебной экспертизы.

Существует несколько способов верификации полученных результатов. К наиболее распространенным относятся следующие:

• сравнение полученных в ходе исследования данных с данными, отображающимися мобильным устройством;
  
• сравнение полученных данных с данными в шестнадцатеричном представлении, имеющимися в побитовой копии внутренней памяти мобильного устройства;
  
• использование нескольких программных продуктов при извлечении данных из мобильного устройства и последующее сравнение полученных результатов.

7. Составление заключения

Заключение должно содержать:

• дату и время начала и окончания исследования;
  
• сведения о физическом состоянии мобильного устройства, фотографии его внешнего вида, наклейки с идентифицирующей его информацией, а также SIM-карты и карты памяти (если имеются);
  
• сведения о состоянии телефона, в котором он поступил на экспертизу (включен/выключен);
  
• сведения о производителе, модели и других идентификационных данных устройства;
  
• сведения об используемом при производстве экспертизы программном обеспечении;
  
• сведения о методиках, используемых при производстве экспертизы;
  
• сведения о категориях данных, обнаруженных в ходе исследования и их содержании.

Окончательные выводы, к которым эксперт пришел по итогам производства судебной экспертизы, должны быть краткими и однозначными, четко соответствовать поставленным вопросам.

ПРИЛОЖЕНИЕ: Бесплатные инструменты для проведения криминалистического исследования мобильных устройств: Ежегодный список, предоставлен cybersecurity & computer forensics company.

Free-Computer-Forensic-Software.pdf

Посмотреть и скачать с Яндекс.Диска

yadi.sk

Много теории - это хорошо. А есть практика?
Работали с UFED? Какие экспертизы назначаются? Вопросы на экспертизу какие? Какое ПО используют эксперты? Какие железяки?

Уважаемый, Автор! Хочу отметить, что в моем сообщении не было смысла на унижение либо иное оскорбление вашего труда. У вас интересная работа, но ее можно сделать еще более полезной, рассмотрев данные вопросы. Рекомендую вам почитать информацию в интернете и ее систематизировать. Не советую читать криминалистическую литературу. Зачастую там (если рассматривать ученых-криминалистов) неграмотная гуманитарная ерунда, неправильные классификации программ и.т.д.

Можете для разнообразия добавить нормативных актов, дабы расписать процессуальную составляющую механизма криминалистического исследования.

Хочу добавить:
При производстве предварительного расследования (будь то следствие или дознание) следует отличать специалиста и эксперта.
Специалист - обладает специальными знаниями и делает заключение специалиста.
Эксперт - тоже обладает специальными знаниями и делает экспертное заключение.

Каждый из них подлежит уголовной ответственности по ст. 307 УК РФ за ложное заключение.
ст. 80 УПК РФнам разъясняет разницу между заключением специалиста и эксперта.

Заключение эксперта - представленные в письменном виде содержание исследования и выводы по вопросам, поставленным перед экспертом лицом, ведущим производство по уголовному делу, или сторонами.
Заключение специалиста - представленное в письменном виде суждение по вопросам, поставленным перед специалистом сторонами.

Таким образом, 1) эксперт объективен, специалист - субъективен. 2) По юридическому весу - эксперт круче. 3) эксперт более связан в рамках инструментов - каждое ПО указывается при исследовании, необходимо лишь лицензионное обеспечение. Также эксперт указывает как, где и что он нашел. 4) выше головы эксперт не прыгнет, если нельзя ВЗЛОМАТЬ IOS 12 или WINDOWS 202020202, то он этого не сделает!!!

Эксперт - это не обязательно программист! Это возможно всего лишь человек, знакомый с computer science.
Идея с гугл плэй интересна. Но где взять сертификаты? самоподписанные не прокатят... Соединения же ssl.
Кстати, что более интересно для изучения - фейковое обновление (замена) приложения Android на приложение с отключенной проверкой сертификатов - тогда можно будет прослушать трафик.

Что хорошего в теории написанной максимально сухо, нуднее чем в учебнике? Я бросил читать на втором абзаце.

Вы же знаете, что доступ к продуктам Сellebrite могут позволить себе только государственные структуры - камень преткновения цена - от 6000 $ и не только. Cellebrite помогла взломать iPhone 5c, принадлежащий Сайеду Ризвану Фаруку, одному из стрелков теракта 2015 года в Сан-Бернардино - ФБР заплатило 900 000 долларов за помощь. Однако списанные правоохранительными органами, но не уничтоженные продукты этой израильской фирмыпоявились на eBay всего за 100 долларов - в общем мечта хакера- не дорого - ужас, что творится .
Вы смотрите в самый корень - работайте ребята, но в рамках закона - далее идет непереводимая игра слов (((
Видео с ютуба как работает эта шайтан-машина

Добавлю.
Как-то раз нашел телефон на Андроиде. Во мне боролись ангелы и демоны: оставить или найти владельца. В итоге, включаю телефон - там пароль графический. (сторонее приложение) Смотрю, есть CWM. Загрузился. Сбросил пароль. Зашел в ВК чувака. Написал знакомым как со мной связаться, а потом получил шоколадку и удивленное выражение лица "потерялы" с вопросом "А как так, там же пароль стоял?"
А вы слышали о терморектальном методе ивлечения информации?

не UFET а UFED (Universal Forensic Extraction Device )

Нет, графический пароль был на запуск. Там оболочка CM была. Решалась простым удалением файла с жестом (смотреть в интернете) через рутExplorer CWM
Поверьте мне, терморектальный метод работает =D

Хватит разводить ФЛУД!
Я понимаю что оборудование и ПО решает многое, но есть еще методы решений для определенных задач и UFED не панацея!
Пример: UFED не смог обработать одну железку с Android 6.0.1, а Вот руками получить Root довольно таки реально.

https://forum.antichat.xyz/attachmen...f102c4b027.png

Ваш личный UFED?

Телефон моего сына в вещ.доках. С ним будут проводится экспертизы. Как я понимаю он отключен. На днях я прислала ему сообщение оно дошло и прочитано. Получается аккаунт работает. Как же теперь экспертизы проводить, картин ведь может поменяться. Объясните пожалуйста. Я не сведуща.

Экспертиза на взлом аккаунта